Я часом не розумію адміністрацію сайтів

Вітя, це пов’язано з несерйозністю адмінів сайтів. Я з цією несерйозністю і ігноруванням стикнувся ще в 2005 році, як тільки почав займатися напрямком веб безпеки. І по сей день майже нічого не змінилося (незважаючи на велику трату власного часу на соціальний секюріті аудит).

але вони майже завжди ігнорують це

Або ігнорують, або відповіді не дадуть, але при цьому втихаря виправлять дірку, або і не відповідають і дірки погано виправляють (про що я часто пишу в себе на сайті). Або ж доводилося стикатися з некоректними висловлюваннями в мою адресу (бо не всі раді тому, що у них на сайті дірку знайшли і люб’язно про це повідомили, бо потрібно буде цю дірку виправляти, а їм ліньки).

При цьому більшість власників сайтів забуває подякувати тим, хто дбає про безпеку їх сайтів (замість них самих). А це вже пов’язано з низьким рівнем культури.

Про різні відповіді, які я отримував на свої листи під час соціального секюріті аудита, я розповів в інтерв’ю журналу Хакер Спец (за лютий 2007 року).

На прикладі це популярний сайт : http://allo.ua

Ну, цей сайт дещо менш популярний ніж rozetka.com.ua . Але дірок вистачає, як і на Розетці (бо движок той самий).

в полі коментарі активна XSS навіть є

Це ти про коментарі до товарів (єдині коментарі, що я виявив на Алло та Розетці)? Як я перевірив, безпосередньо в полі комантарю XSS немає (ні активного, ні пасивного), до того ж на Алло коментарі для відвідувачів закриті, треба бути зареєстрованим і залогіненим для коментування.

Зате я виявив чимало активних XSS через профайл (як на allo.ua, так і на rozetka.com.ua), зокрема одна з них на allo.ua також працює для коментарів (що дозволяє атакувати не тільки поточного користувача, а й всіх користувачів та відвідувачів). А на rozetka.com.ua ця активна XSS в коментарях відсутня, зате є дві інші активні XSS (що працюють для поточного користувача).

Так, я дані уразливості теж давно знайшов (ці 3 в 2008 році, а попередні 3 - в 2007). Регулярно, як зайду на сайт Розетки, то обов’язково дірки знайду . Сьогодні от ще нові дірки знайшов.

Причому адміни rozetka.com.ua постійно ігнорують мої повідомлення про уразливості на їх сайті - жодного разу не відповіли мені, й дірки не виправляють. Як я перевірив, коли опублікував цей запис, зі старих дірок вони одну XSS виправили, але при цьому зробили Full path disclosure дірку.

тому в кожному сайті їхнього портфоліо дана вразливість.

Так, судячи з дірок на сайтах Розетки та Алло, компанія розробник недостатньо професійна. Що є звичним явищем в Уанеті, де я регулярно знахожу дірки на різних веб сайтах, в тому числі на сайтах веб студій та в CMS ураїнських розробників.

Ще як вночі зайшов глянути на їх веб сайт, одразу виявив, що деякі підходи і відповідно уразливості в них на сайті аналогічні до веб сайтів, які вони розробили. Ти вірно підмітив, деякі дірки на Розетці та Алло співпадають - явно використовують той же код (це в них така CMS для магазинів). Як я щойно перевірив, на allo.ua є одна XSS така як раніше оприлюднена дірка на rozetka.com.ua, та є XSS і одна Insufficient Anti-automation подібні до вищеоприлюднених дірок на rozetka.com.ua.

Компанія котра займається створенням сайтів не професійна, тому в кожному сайті їхнього портфоліо дана вразливість.

На прикладі це популярний сайт : http://allo.ua ( в полі коментарі активна XSS навіть є )